- 1、本文档共93页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
仅获得Firewall软件需要准备额外的OS平台安全性依赖低层的OS
3.2 入侵检测系统 为什么需要IDS 单一防护产品的弱点 防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁 单纯的防火墙无法防范复杂多变的攻击 入侵很容易 入侵教程随处可见 各种工具唾手可得 系统目录和文件的异常变化 重要信息的文件和私有数据文件经常是黑客修改或破坏的目标 目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件 程序执行中的异常行为 误用检测模型(Misuse Detection):,又称基于标识的检测,收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵 –模式匹配方法 入侵检测系统的分类(2) 主机IDS(HIDS) :是一种用于监控单个主机上的活动的软件应用。监控方法包括验证操作系统与应用调用及检查日志文件、文件系统信息与网络连接。 网络IDS(NIDS):通常以非破坏方式使用。这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。 混合型的 IDS面临的挑战 提高入侵检测系统的检测速度,以适应网络通信的要求 减少入侵检测系统的漏报和误报,提高其安全性和准确度 当前IDS使用的主要检测技术仍然是模式匹配,模式库的组织简单、不及时、不完整,而且缺乏对未知攻击的检测能力; 随着网络规模的扩大以及异构平台和不同技术的采用,尤其是网络带宽的迅速增长,IDS的分析处理速度越来越难跟上网络流量,从而造成数据包丢失; 网络攻击方法越来越多,攻击技术及其技巧性日趋复杂,也加重了IDS的误报、漏报现象。 提高入侵检测系统的互动性能,从而提高整个系统的安全性能 无法避免DOS攻击 IDS是失效开放(Fail Open)的机制,当IDS遭受拒绝服务攻击时,这种失效开放的特性使得黑客可以实施攻击而不被发现。 提高入侵检测系统的互动性能,从而提高整个系统的安全性能 无法避免DOS攻击 IDS是失效开放(Fail Open)的机制,当IDS遭受拒绝服务攻击时,这种失效开放的特性使得黑客可以实施攻击而不被发现。 无法避免插入和规避攻击 插入攻击和规避攻击是两种逃避IDS检测的攻击形式。 插入攻击可通过定制一些错误的数据包到数据流中,使IDS误以为是攻击。意图是使IDS频繁告警(误警),但实际上并没有攻击,起到迷惑管理员的作用。 规避攻击则相反,可使攻击躲过IDS的检测到达目的主机。规避攻击的意图则是真正要逃脱IDS的检测,对目标主机发起攻击。黑客经常改变攻击特征来欺骗基于模式匹配的IDS。 IDS产品 免费 Snort SHADOW /ISSEC/CID/ 入侵防护系统(Intrution Protection System,IPS ) 倾向于提供主动性的防护,其设计旨在预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报。 通过直接嵌入到网络流量中而实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能够在IPS设备中被清除掉 作业 防火墙、IDS、IPS区别和联系 蜜罐技术的提出 试图改变攻防博弈的非对称性 对攻击者的欺骗技术-增加攻击代价、减少对实际系统的安全威胁 了解攻击者所使用的攻击工具和攻击方法 追踪攻击源、攻击行为审计取证 Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)-杜鹃蛋 Fred Cohen(计算机病毒之父) DTK: Deception Tool Kit (1997)-模拟器 A Framework for Deception (2001) 安全性较低: 中交互系统提供了较多的网络服务,有可能被攻击者利用成为跳板,因此,在实施该系统的网络内,经常检查系统日志,并严格检查是否有安全漏洞已经被黑客利用。 风险高: 一旦攻击者掌握了对某个Honeypot的控制权,即拥有了被侵入机器完整可操作系统的控制权,从而会在被侵入系统内进一步扩大侵害。 真实的操作系统,就难免有攻击者可以通过蜜罐系统对其它内网主机进行攻击 因此,管理员应定期检查蜜罐主机的安全性和完整性,也可通过其它方法将蜜罐主机与受保护主机隔离,使攻击者即使攻破了蜜罐系统也无法跳板攻击其它主机。 虚拟机蜜罐 使用真实的网络拓扑,操作系统和应用服务 为攻击者提供足
您可能关注的文档
- 亚洲场的股价指数与汇率间的关系以分量回归为研究张氏秋香.PDF
- 交通运输物流信息互联共享标准2015编制说明-交通物流公共.PDF
- 产业发展研究-浙江产业发展政策研究中心.PDF
- 产业结构与城化区域经济的协调发展.PDF
- 产业资本与经济生产力指标之估测研究.PDF
- 产业集群创新能力的概念要素与构建研究.PDF
- 京津冀地区PM5减排实效与影响因素的门限效应.PDF
- 京东电商云京东物流云京东智能云京东产业云-中国IDC圈.PDF
- 人IL-29检测试剂盒ELISA法说明书.PDF
- 人体肥胖指数与2型糖尿病肾病的相关性研究-天津医科大学学报.PDF
- 云南省民族大学附属中学2024届化学高一下期末教学质量检测试题含解析.doc
- 山东省青岛胶州市2024届高一下化学期末复习检测试题含解析.doc
- 新疆维吾尔自治区阿克苏地区库车县乌尊镇中学2024届化学高一下期末统考试题含解析.doc
- 2024届浙江省温州市永嘉县翔宇中学高一化学第二学期期末质量跟踪监视试题含解析.doc
- 吉林省长春市朝阳区实验中学2023-2024学年化学高一下期末学业质量监测试题含解析.doc
- 浙江省温州十五校联合体2024年高一化学第二学期期末复习检测试题含解析.doc
- 吉林省东丰县第三中学2024年高一下化学期末综合测试模拟试题含解析.doc
- 云南省河口县民中2023-2024学年高一化学第二学期期末预测试题含解析.doc
- 2023-2024学年云南省罗平二中化学高一下期末复习检测模拟试题含解析.doc
- 河北省秦皇岛市刘李柳河中学2024届高一化学第二学期期末监测试题含解析.doc
文档评论(0)